1. FortiAnalyzer Първи стъпки v6.4. Въведение

Здравейте приятели! Имаме удоволствието да ви приветстваме с добре дошли в нашия нов курс за започване на FortiAnalyzer. Разбира се Fortinet Първи стъпки Вече разгледахме функционалността на FortiAnalyzer, но я разгледахме доста повърхностно. Сега искам да ви разкажа по-подробно за този продукт, за неговите цели, задачи и възможности. Този курс не би трябвало да е толкова обемен като предишния, но се надявам, че ще бъде интересен и информативен.

Тъй като урокът се оказа напълно теоретичен, за ваше удобство решихме да го представим и под формата на статия.

По време на този курс ще разгледаме следните точки:

• Обща информация за продукта, неговото предназначение, задачи и основни характеристики
• Нека подготвим оформление, по време на подготовката ще разгледаме подробно първоначалната конфигурация на FortiAnalyzer
• Нека се запознаем с механизма за съхранение, обработка и филтриране на регистрационни файлове за лесно търсене, както и да разгледаме механизма FortiView, който представя визуална информация за състоянието на мрежата под формата на различни графики, диаграми и други джаджи
• Нека разгледаме процеса на създаване на съществуващи отчети и също така да научим как да създавате свои собствени отчети и да редактирате съществуващи отчети
• Нека да разгледаме основните проблеми, свързани с администрирането на FortiAnalyzer
• Нека отново обсъдим схемата за лицензиране - вече говорих за нея в урок 11 от курса. Fortinet Първи стъпки, но както се казва, повторението е майката на ученето.

Основната цел на FortiAnalyzer е централизирано съхранение на логове от едно или повече Fortinet устройства, както и тяхната обработка и анализ. Това позволява на администраторите по сигурността да наблюдават различни събития в мрежата и сигурността от едно място, бързо да получават необходимата информация от регистрационни файлове и уиджети и да създават отчети за всички или определени устройства.
Списъкът с устройства, от които FortiAnalyzer може да получава регистрационни файлове и да ги анализира, е представен на фигурата по-долу.

FortiAnalyzer има три ключови функции: отчитане, предупреждения и архивиране. Нека разгледаме всеки от тях.

Докладване - Докладите предоставят визуално представяне на мрежови събития, събития за сигурност и различни дейности, случващи се на поддържани устройства. Механизмът за докладване събира необходимите данни от съществуващи регистрационни файлове и ги представя във форма, лесна за четене и анализиране. Използвайки отчети, можете бързо да получите необходимата информация за производителността на устройството, сигурността на мрежата, най-посещаваните ресурси и т.н. Вариантите са много. Отчетите могат да се използват и за анализиране на състоянието на мрежата и поддържаните устройства за дълъг период от време. Доста често те са незаменими при разследване на различни инциденти със сигурността.

Сигналите ви позволяват бързо да реагирате на различни заплахи, възникващи в мрежата. Системата генерира предупреждения, когато се появят регистрационни файлове, които отговарят на предварително конфигурирани условия - откриване на вируси, използване на различни уязвимости и т.н. Тези сигнали могат да се видят в уеб интерфейса на FortiAnalyzer и можете да конфигурирате изпращането им чрез SNMP протокола, към syslog сървъра, а също и към конкретни имейл адреси.

Архивирането ви позволява да съхранявате копия на различно съдържание, преминаващо през мрежата във FortiAnalyzer. Това обикновено се използва във връзка с DLP двигателя за съхраняване на различни файлове, които попадат в различните правила на двигателя. Може да бъде полезен и за разследване на различни инциденти със сигурността.

Друга интересна функция е възможността за използване на административни домейни. Тази технология ви позволява да създавате групи от устройства въз основа на различни критерии - типове устройства, географско местоположение и т.н. Създаването на такива групи устройства служи за следните цели:

• Групиране на устройства въз основа на подобни характеристики за по-лесно наблюдение и управление – например устройствата са групирани по географско местоположение. Трябва да намерите малко информация в регистрационните файлове за устройства, намиращи се в същата група. Вместо внимателно да филтрирате регистрационните файлове, вие просто преглеждате регистрационните файлове за необходимия административен домейн и търсите необходимата информация.
• За разграничаване на административния достъп - всеки административен домейн може да има един или повече администратори, които имат достъп само до този административен домейн
• Ефективно управлявайте дисковото пространство и политиките за съхранение за данни на устройството - Вместо да създавате единична конфигурация за съхранение за всички устройства, административните домейни ви позволяват да задавате по-подходящи конфигурации за отделни групи устройства. Това може да бъде полезно, ако имате няколко устройства и от една група устройства трябва да съхранявате данни за една година, а от друга - 3 години. Съответно можете да отделите подходящо дисково пространство за всяка група - за група, която генерира голям брой логове, отделете повече място, а за друга група - по-малко място.

FortiAnalyzer може да работи в два режима - Анализатор и Колектор. Режимът на работа се избира в зависимост от индивидуалните изисквания и топологията на мрежата.

Когато FortiAnalyzer работи в режим на анализатор, той действа като основен агрегатор на регистрационни файлове от един или повече събирачи на регистрационни файлове. Колекторите на журнали са както FortiAnalyzer в режим Collector, така и други устройства, които се поддържат от FortiAnalyzer (техният списък е показан по-горе на фигурата). Този режим на работа се използва по подразбиране.

Когато FortiAnalyzer работи в режим Collector, той събира регистрационни файлове от други устройства и след това ги препраща към друго устройство, като например FortiAnalyzer в режим Analyzer или Syslog. В режим Collector FortiAnalyzer не може да използва повечето функции, като отчитане и предупреждения, тъй като основната му цел е да събира и препраща регистрационни файлове.

Използването на множество устройства FortiAnalyzer в различни режими може да увеличи производителността - FortiAnalyzer в режим Collector събира регистрационни файлове от всички устройства и ги изпраща на анализатора за последващ анализ, което позволява на FortiAnalyzer в режим анализатор да спести ресурси, изразходвани за получаване на регистрационни файлове от множество устройства и да се фокусира изцяло върху обработка на дневници.

FortiAnalyzer поддържа декларативен SQL език за заявки за регистриране и докладване. С негова помощ дневниците се представят в четим вид. Освен това с помощта на този език за заявки се създават различни отчети. Някои възможности за отчитане изискват познания по SQL и бази данни, но вградените възможности на FortiAnalyzer често елиминират тези знания. Ще се сблъскаме с това отново, когато разглеждаме механизма за докладване.

Самият FortiAnalyzer се предлага в няколко варианта. Това може да бъде отделно физическо устройство, виртуална машина - поддържат се различни хипервайзори, пълният им списък можете да намерите в лист с данни. Може да се внедри и в специализирани инфраструктури – AWS. Azure, Google Cloud и др. И последната опция е FortiAnalyzer Cloud, облачна услуга, предоставена от Fortinet.

В следващия урок ще подготвим оформление за по-нататъшна практическа работа. За да не го пропуснете, абонирайте се за нашия Youtube канал.

Можете също да следите актуализациите на следните ресурси:

FaceBook Group
Yandex Zen
Нашият сайт
Телеграм канал

Източник: www.habr.com